Le RSSI, un super-héros aux pouvoirs contrariés

 

RSSI super-héros ? Les RSSI sont stressés. C’est ce qui ressort d’une étude réalisée par le cabinet Vanson Bourne à la demande de Nominet, et réalisée auprès de 800 responsables de la sécurité des systèmes d’information aux Etats-Unis et en Grande-Bretagne. Si la France ne fait pas partie de l’étude, il semble cependant raisonnable d’imaginer que la situation y est similaire. Pourquoi ce stress ? Tout simplement parce que le RSSI assume une mission de super-héros, le RSSI super-héros, sans pour autant disposer des moyens adaptés.

Pourquoi le RSSI a tout du super-héros

Dans les comics, le super-héros est celui qui combat les menaces face auxquelles le commun des mortels reste impuissant. Dans l’entreprise, le RSSI combat quant à lui des menaces d’un genre bien particulier. Méconnues par les collaborateurs, voire par les dirigeants, les menaces cyber sont encore insuffisamment prises en compte, alors que la lutte se complexifie toujours plus.

Les enjeux de la cybersécurité sont considérables

Certes, le quotidien d’un RSSI ne consiste pas à éviter que le monde s’effondre. Pour autant, sa responsabilité est lourde, au regard de la gravité des conséquences que peut avoir une cyber-attaque : ralentissement ou arrêt de la production, indisponibilité du site web, retards de livraison et déboires contractuels, atteinte à l’image de l’entreprise etc.

Les chiffres sont sur ce point édifiants, puisqu’en 2019, 65% des entreprises ont connu une attaque, avec, dans 57% des cas, un impact sur le business (source : Baromètre de la sécurité des entreprises- CESIN-Janvier 2020).

Tous les RSSI ont en outre à l’esprit que le risque pèse sur leur organisation quelles que soient ses caractéristiques, l’expérience démontrant que les attaques touchent tout type de structure, avec parfois des conséquences désastreuses. Pour ne citer qu’un exemple, rappelons-nous du placement en redressement judiciaire de Lise Charmel, après avoir subi un arrêt d’activité de deux mois et perdu plusieurs millions d’euros.

Le métier est de plus en plus complexe

Même si le périmètre d’action du RSSI dépend très largement de la taille de la structure qui l’emploie et de son organisation, l’étendue des missions reste globalement très étendue. Celles-ci couvrent tout ou partie des cinq phases identifiées dans le NIST cybersecurity framework (identify, protect, detect, respond, recover), lequel apparaît comme un outil pertinent dans la gestion des cyber-risques.

Mais la vraie complexité du métier ne tient pas seulement à ce périmètre : elle s’explique également par le constat que les menaces augmentent constamment, en prenant désormais toutes les formes.

Concrètement, cela est illustré par :

  • La variété des vecteurs d’attaques: phishing ou spear-phishing (79% des attaques), arnaque au président (47% des cas), exploitation d’une vulnérabilité (43%) mais aussi tentatives de connexion, attaques en déni de service, attaques par rebond via un prestataire, sans oublier les cas de divulgation volontaire d’informations.
  • La diversité des conséquences des attaques: cela peut aller de l’usurpation d’identité ou de l’infection par un malware ou un ransomware, en passant par un vol de données, du cryptojacking ou de la défiguration de site web.
  • Le développement de pratiques « à risque» : transition vers le cloud computing, mobilité, IT Shadow…

Conclusion ? Le RSSI est censé tout voir, tout savoir, tout anticiper, tout éviter, et -si jamais l’incident n’a pas pu être évité- tout régler. Autrement dit, de jouer les super-héros de la sécurité, sans toutefois qu’on ne lui donne forcément les moyens de cette ambition.

Les super-pouvoirs du RSSI sont encore ignorés

Le métier de RSSI, s’il suscite aujourd’hui curiosité et désir de la part des recruteurs, reste encore un métier « récent ».  C’est sans doute ce qui explique, en partie, que le potentiel de la fonction ne soit pas encore pleinement perçu par bon nombre d’organisations.

Les enjeux de la cybersécurité sont encore mal compris

Si la plupart des entreprises ont franchi le pas d’adopter une protection de base contre les logiciels malveillants, il n’en reste pas moins que les organisations restent globalement à la traîne sur le sujet de la cybersécurité :

  • Seulement 39% d’entre elles se disent suffisamment préparées en cas de cyber-attaques de grande ampleur
  • Sur 89% des entreprises qui utilisent le cloud, 55% choisissent le cloud public, autrement dit ne maîtrisent pas la sous-traitance réalisée par l’hébergeur, ne peuvent pas auditer ni contrôler l’utilisation faite par les salariés
  • Plus de 40% des entreprises ont été confrontées en 2019 à une négligence ou une erreur de manipulation/configuration de la part d’un collaborateur

La conclusion est donc sans appel : le chemin à parcourir reste long, avec encore un gros travail d’évangélisation à accomplir du côté des RSSI.

 Le RSSI : super-héros ou casse-pied ?

Lorsqu’un enjeu est mal compris, les métiers qui s’y rapportent se trouvent par ricochet à leur tour mal compris, voire mal perçus.

C’est précisément ce que vivent un certain nombre de RSSI, perçus comme de gentils geeks dans le meilleur des cas, et, dans le pire scénario, comme des « empêcheurs de tourner en rond » qui ralentiraient ou bloqueraient les projets.

Une étude IDC réalisée par Devoteam fait ainsi apparaître que dans plus d’un tiers des organisations, la sécurité reste pensée « après coup » sur les initiatives et nouveaux projets.

En d’autres termes, le RSSI serait, deux fois sur trois, l’expert qu’on oublie…voire qu’on évite soigneusement de consulter !

Et si les RSSI déployaient leurs pouvoirs ?

Que les RSSI se rassurent : même si le métier est à la fois complexe et mal compris, les choses bougent !

La cybersécurité gagne du terrain

Les organisations doivent certes encore faire de gros efforts en matière de cybersécurité. Mais voyons le verre à moitié plein : elles progressent ! C’est en tout cas ce que démontrent les chiffres du baromètre de la cybersécurité 2020 :

  • Elles sont 91% à mettre en place un programme de cyber-résilience ou à envisager de la faire (soit 12 points de plus que l’année passée)
  • Elles sont 60% à avoir souscrit une cyber-assurance (soit 1 points de plus que l’année passée)
  • Elles sont 62% à envisager d’augmenter les budgets alloués à la protection contre les cyber-risques et 83% prêtes à acquérir de nouvelles solutions techniques

Certes, les plus pessimistes avanceront que la crise sanitaire du COVID, survenue après cette étude, risque fort d’avoir un impact sur le passage à l’action des organisations, et ce pour des raisons budgétaires. Il n’en reste pas moins que la prise de conscience et les bonnes intentions sont là, avec à la clé pour les RSSI la perspective de voir les enjeux de cybersécurité mieux pris en compte à plus ou moins long terme.

 

Changeons les choses avec AugmentedCISO !

Même si la route de super-héros peut encore sembler longue, RSSI ne désespèrez pas : la tendance qui se dessine vous offre l’espoir de pouvoir exploiter davantage vos compétences et d’assurer une meilleure protection de l’entreprise !

Mais mieux exploiter ses compétences, cela veut dire, avant toute chose, retrouver du temps de qualité (voir notre article sur ce thème spécifique), pour pouvoir se concentrer sur l’essentiel et travailler efficacement.

Comment ? D’abord en adoptant une solution dédiée, permettant à la fois d’automatiser ce qui peut l’être (calculs d’indicateurs, collecte des infos), d’être guidé au quotidien (runtask, formalisation du programme de sécurité) et de disposer de la vision nécessaire pour pouvoir analyser son activité (tableaux de bords sécurité, suivi d’évaluations, plan de contrôle…).

Savez-vous qu’un tel outil existe pour vous accompagner dans vos (super) fonctions de RSSI ? Développée par EXCUBE au sein d’une solution Saas, adaptable et collaborative, notre solution de pilotage de la cybersécurité est le résultat de 15 ans d’expérience en conseil en sécurité du système d’information.

Bien plus qu’un simple outil, AugmentedCISO se présente comme la première solution dédiée au pilotage de la cybersécurité. Complète, conçue par des RSSI pour des RSSI, elle transforme leur quotidien sur trois aspects.

  • Efficacité : gain de temps sur les tâches chronophages et sans valeur
  • Visibilité : éclairage à 360°, grâce à des indicateurs clairs, opérationnels et stratégiques
  • Cohérence : alignement entre les opérations et les objectifs.

 

0 commentaires

Cyril GUILLET

Cyril GUILLET

Expert Cybersécurité

CEO – Fondateur

 

Share This